網(wǎng)絡(luò)安全事件異常問(wèn)題檢測(cè)方案

定義網(wǎng)絡(luò)安全異常事件檢測(cè)模式，提出網(wǎng)絡(luò)頻繁密度概念，針對(duì)網(wǎng)絡(luò)安全異常事件模式的間隔限制，利用事件流中滑動(dòng)窗口設(shè)計(jì)算法，對(duì)網(wǎng)絡(luò)安全事件流中異常檢測(cè)進(jìn)行探討。但是，由于在網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問(wèn)題的忽視以及在管理和使用上的不健全，使網(wǎng)絡(luò)安全受到嚴(yán)重威脅。本文通過(guò)針對(duì)網(wǎng)絡(luò)安全事件流中異常檢測(cè)流的特點(diǎn)的探討分析，對(duì)此加以系統(tǒng)化的論述并找出合理經(jīng)濟(jì)的解決方案。

1、建立信息安全體系統(tǒng)一管理網(wǎng)絡(luò)安全

在綜合考慮各種網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，網(wǎng)絡(luò)安全事件流中異常檢測(cè)在未來(lái)網(wǎng)絡(luò)安全建設(shè)中應(yīng)該采用統(tǒng)一管理系統(tǒng)進(jìn)行安全防護(hù)。直接采用網(wǎng)絡(luò)連接記錄中的基本屬性，將基于時(shí)間的統(tǒng)計(jì)特征屬性考慮在內(nèi)，這樣可以提高系統(tǒng)的檢測(cè)精度。

1.1 網(wǎng)絡(luò)安全帳號(hào)口令管理安全系統(tǒng)建設(shè)

終端安全管理系統(tǒng)擴(kuò)容，擴(kuò)大其管理的范圍同時(shí)考慮網(wǎng)絡(luò)系統(tǒng)擴(kuò)容。完善網(wǎng)絡(luò)審計(jì)系統(tǒng)、安全管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)的部署，采用高新技術(shù)流程來(lái)實(shí)現(xiàn)。采用信息化技術(shù)管理需要帳號(hào)口令，有效地實(shí)現(xiàn)一人一帳號(hào)和帳號(hào)管理流程安全化。此階段需要部署一套帳號(hào)口令統(tǒng)一管理系統(tǒng)，對(duì)所有帳號(hào)口令進(jìn)行統(tǒng)一管理，做到職能化、合理化、科學(xué)化。

信息安全建設(shè)成功結(jié)束后，全網(wǎng)安全基本達(dá)到規(guī)定的標(biāo)準(zhǔn)，各種安全產(chǎn)品充分發(fā)揮作用，安全管理也到位和正規(guī)化。此時(shí)進(jìn)行安全管理建設(shè)，主要完善系統(tǒng)體系架構(gòu)圖編輯，加強(qiáng)系統(tǒng)平臺(tái)建設(shè)和專(zhuān)業(yè)安全服務(wù)。體系框架中最要的部分是平臺(tái)管理、賬號(hào)管理、認(rèn)證管理、授權(quán)管理、審計(jì)管理，本階段可以考慮成立安全管理部門(mén)，聘請(qǐng)專(zhuān)門(mén)的安全服務(wù)顧問(wèn)，建立信息安全管理體系，建立PDCA機(jī)制，按照專(zhuān)業(yè)化的要求進(jìn)行安全管理通過(guò)系統(tǒng)的認(rèn)證。

邊界安全和網(wǎng)絡(luò)安全建設(shè)主要考慮安全域劃分和加強(qiáng)安全邊界防護(hù)措施，重點(diǎn)考慮Internet外網(wǎng)出口安全問(wèn)題和各節(jié)點(diǎn)對(duì)內(nèi)部流量的集中管控。因此，加強(qiáng)各個(gè)局端出口安全防護(hù)，并且在各個(gè)節(jié)點(diǎn)位置部署入侵檢測(cè)系統(tǒng)，加強(qiáng)對(duì)內(nèi)部流量的檢測(cè)。主要采用的技術(shù)手段有網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)邊界入侵防護(hù)、網(wǎng)絡(luò)邊界防病毒、內(nèi)容安全管理等。

1.2 綜合考慮和解決各種邊界安全技術(shù)問(wèn)題

隨著網(wǎng)絡(luò)病毒攻擊越來(lái)越朝著混合性發(fā)展的趨勢(shì)，在網(wǎng)絡(luò)安全建設(shè)中采用統(tǒng)一管理系統(tǒng)進(jìn)行邊界防護(hù)，考慮到性?xún)r(jià)比和防護(hù)效果的最大化要求，統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)是最適合的選擇。在各分支節(jié)點(diǎn)交換和部署統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)，考慮到以后各節(jié)點(diǎn)將實(shí)現(xiàn)INITERNET出口的統(tǒng)一，要充分考慮分支節(jié)點(diǎn)的internet出口的深度安全防御。采用了UTM統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)，可以實(shí)現(xiàn)對(duì)內(nèi)部流量訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)的流量進(jìn)行集中的管控，包括進(jìn)行訪(fǎng)問(wèn)控制、內(nèi)容過(guò)濾等。

網(wǎng)絡(luò)入侵檢測(cè)問(wèn)題通過(guò)部署UTM產(chǎn)品可以實(shí)現(xiàn)靜態(tài)的深度過(guò)濾和防護(hù)，保證內(nèi)部用戶(hù)和系統(tǒng)的安全。但是安全威脅是動(dòng)態(tài)變化的，因此采用深度檢測(cè)和防御還不能最大化安全效果，為此建議采用入侵檢測(cè)系統(tǒng)對(duì)通過(guò)UTM的流量進(jìn)行動(dòng)態(tài)的檢測(cè)，實(shí)時(shí)發(fā)現(xiàn)其中的異常流量。在各個(gè)分支的核心交換機(jī)上將進(jìn)出流量進(jìn)行集中監(jiān)控，通過(guò)入侵檢測(cè)系統(tǒng)管理平臺(tái)將入侵檢測(cè)系統(tǒng)產(chǎn)生的事件進(jìn)行有效的呈現(xiàn)，從而提高安全維護(hù)人員的預(yù)警能力。

1.3 防護(hù)IPS入侵進(jìn)行internet出口位置的整合

防護(hù) IPS入侵進(jìn)行 internet出口位置的整合，可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域。同時(shí)在核心服務(wù)器區(qū)域邊界位置采用入侵防護(hù)系統(tǒng)進(jìn)行集中的訪(fǎng)問(wèn)控制和綜合過(guò)濾，采用IPS系統(tǒng)可以預(yù)防服務(wù)器因?yàn)闆](méi)有及時(shí)添加補(bǔ)丁而導(dǎo)致的攻擊等事件的發(fā)生。

在整合后的internet邊界位置放置一臺(tái)IPS設(shè)備，實(shí)現(xiàn)對(duì)internet流量的深度檢測(cè)和過(guò)濾。安全域劃分和系統(tǒng)安全考慮到自身業(yè)務(wù)系統(tǒng)的特點(diǎn)，為了更好地對(duì)各種服務(wù)器進(jìn)行集中防護(hù)和監(jiān)控，將各種業(yè)務(wù)服務(wù)器進(jìn)行集中管控，并且考慮到未來(lái)發(fā)展需要，可以將未來(lái)需要新增的服務(wù)器進(jìn)行集中放置，這樣我們可以保證對(duì)服務(wù)器進(jìn)行同樣等級(jí)的保護(hù)。在接入交換機(jī)上劃出一個(gè)服務(wù)器區(qū)域，前期可以將已有業(yè)務(wù)系統(tǒng)進(jìn)行集中管理。

2、科學(xué)化進(jìn)行網(wǎng)絡(luò)安全事件流中異常檢測(cè)方案的探討

網(wǎng)絡(luò)安全事件本身也具有不確定性，在正常和異常行為之間應(yīng)當(dāng)有一個(gè)平滑的過(guò)渡。在網(wǎng)絡(luò)安全事件檢測(cè)中引入模糊集理論，將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來(lái)，采用模糊化的關(guān)聯(lián)算法來(lái)挖掘網(wǎng)絡(luò)行為的特征，從而提高系統(tǒng)的靈活性和檢測(cè)精度。異常檢測(cè)系統(tǒng)中，在建立正常模式時(shí)必須盡可能多得對(duì)網(wǎng)絡(luò)行為進(jìn)行全面的描述，其中包含出現(xiàn)頻率高的模式，也包含低頻率的模式。

2.1 基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析

針對(duì)網(wǎng)絡(luò)安全事件流中異常檢測(cè)問(wèn)題，定義網(wǎng)絡(luò)安全異常事件模式為頻繁情節(jié)，主要基于無(wú)折疊出現(xiàn)的頻繁度研究，提出了網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)現(xiàn)方法，該方法中針對(duì)事件流的特點(diǎn)，提出了頻繁度密度概念。針對(duì)網(wǎng)絡(luò)安全異常事件模式的時(shí)間間隔限制，利用事件流中滑動(dòng)窗口設(shè)計(jì)算法。針對(duì)復(fù)合攻擊模式的特點(diǎn)，對(duì)算法進(jìn)行實(shí)驗(yàn)證明網(wǎng)絡(luò)時(shí)空的復(fù)雜性、漏報(bào)率符合網(wǎng)絡(luò)安全事件流中異常檢測(cè)的需求。

傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則算法，將網(wǎng)絡(luò)屬性的取值范圍離散成不同的區(qū)間，然后將其轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法，這樣做會(huì)產(chǎn)生明顯的邊界問(wèn)題，如果正?；虍惓Ｂ晕⑵x其規(guī)定的范圍，系統(tǒng)就會(huì)做出錯(cuò)誤的判斷。在基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析中，建立網(wǎng)絡(luò)安全防火墻，在網(wǎng)絡(luò)系統(tǒng)的內(nèi)部和外網(wǎng)之間構(gòu)建保護(hù)屏障。針對(duì)事件流的特點(diǎn)，利用事件流中滑動(dòng)窗口設(shè)計(jì)算法，采用復(fù)合攻擊模式方法，對(duì)算法進(jìn)行科學(xué)化的測(cè)試。

2.2 采用系統(tǒng)連接方式檢測(cè)網(wǎng)絡(luò)安全基本屬性

在入侵檢測(cè)系統(tǒng)中，直接采用網(wǎng)絡(luò)連接記錄中的基本屬性，其檢測(cè)效果不理想，如果將基于時(shí)間的統(tǒng)計(jì)特征屬性考慮在內(nèi)，可以提高系統(tǒng)的檢測(cè)精度。網(wǎng)絡(luò)安全事件流中異常檢測(cè)引入數(shù)據(jù)化理論，將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來(lái)，采用設(shè)計(jì)化的關(guān)聯(lián)算法來(lái)挖掘網(wǎng)絡(luò)行為的特征，從而提高系統(tǒng)的靈活性和檢測(cè)精度。異常檢測(cè)系統(tǒng)中，在建立正常的數(shù)據(jù)化模式盡可能多得對(duì)網(wǎng)絡(luò)行為進(jìn)行全面的描述，其中包含出現(xiàn)頻率高的模式，也包含低頻率的模式。

在網(wǎng)絡(luò)安全數(shù)據(jù)集的分析中，發(fā)現(xiàn)大多數(shù)屬性值的分布較稀疏，這意味著對(duì)于一個(gè)特定的定量屬性，其取值可能只包含它的定義域的一個(gè)小子集，屬性值分布也趨向于不均勻。這些統(tǒng)計(jì)特征屬性大多是定量屬性，傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則的算法是將屬性的取值范圍離散成不同的區(qū)間，然后將其轉(zhuǎn)化為布爾型關(guān)聯(lián)規(guī)則算法，這樣做會(huì)產(chǎn)生明顯的邊界問(wèn)題，如果正?；虍惓Ｂ晕⑵x其規(guī)定的范圍，系統(tǒng)就會(huì)做出錯(cuò)誤的判斷。網(wǎng)絡(luò)安全事件本身也具有模糊性，在正常和異常行為之間應(yīng)當(dāng)有一個(gè)平滑的過(guò)渡。

另外，不同的攻擊類(lèi)型產(chǎn)生的日志記錄分布情況也不同，某些攻擊會(huì)產(chǎn)生大量的連續(xù)記錄，占總記錄數(shù)的比例很大，而某些攻擊只產(chǎn)生一些孤立的記錄，占總記錄數(shù)的比例很小。針對(duì)網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布，不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況，采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來(lái)用于檢測(cè)系統(tǒng)。實(shí)驗(yàn)結(jié)果證明，設(shè)計(jì)算法的引入不僅可以提高異常檢測(cè)的能力，還顯著減少了規(guī)則庫(kù)中規(guī)則的數(shù)量，提高了網(wǎng)絡(luò)安全事件異常檢測(cè)效率。

2.3 建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)，提高異常檢測(cè)的效率

作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的一部分，建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)主要基于netflow的異常檢測(cè)。為了提高異常檢測(cè)的效率，解決傳統(tǒng)流量分析方法效率低下、單點(diǎn)的問(wèn)題以及檢測(cè)對(duì)分布式異常檢測(cè)能力弱的問(wèn)題。對(duì)網(wǎng)絡(luò)的netflow數(shù)據(jù)流采用，基于高位端口信息的分布式異常檢測(cè)算法實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)異常檢測(cè)。

通過(guò)網(wǎng)絡(luò)數(shù)據(jù)設(shè)計(jì)公式推導(dǎo)出高位端口計(jì)算結(jié)果，最后采集局域網(wǎng)中的數(shù)據(jù)，通過(guò)對(duì)比試驗(yàn)進(jìn)行驗(yàn)證。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點(diǎn)是數(shù)據(jù)持續(xù)到達(dá)、速度快、規(guī)模宏大。因此，如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下進(jìn)行檢測(cè)網(wǎng)絡(luò)異常并為提供預(yù)警信息，是目前需要解決的重要問(wèn)題。結(jié)合入侵檢測(cè)技術(shù)和數(shù)據(jù)流挖掘技術(shù)，提出了一個(gè)大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測(cè)算法，根據(jù)“加權(quán)歐幾里得”距離進(jìn)行模式匹配。

實(shí)驗(yàn)結(jié)果表明，該算法可以檢測(cè)出網(wǎng)絡(luò)流量異常。為增強(qiáng)網(wǎng)絡(luò)抵御智能攻擊的能力，提出了一種可控可管的網(wǎng)絡(luò)智能體模型。該網(wǎng)絡(luò)智能體能夠主動(dòng)識(shí)別潛在異常，及時(shí)隔離被攻擊節(jié)點(diǎn)阻止危害擴(kuò)散，并報(bào)告攻擊特征實(shí)現(xiàn)信息共享。綜合網(wǎng)絡(luò)選擇原理和危險(xiǎn)理論，提出了一種新的網(wǎng)絡(luò)智能體訓(xùn)練方法，使其在網(wǎng)絡(luò)中能更有效的識(shí)別節(jié)點(diǎn)上的攻擊行為。通過(guò)分析智能體與對(duì)抗模型，表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全。

伴隨著計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展，伴隨著網(wǎng)絡(luò)用戶(hù)需求的不斷增加，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，其規(guī)模也越來(lái)越龐大。同時(shí)，網(wǎng)絡(luò)安全事件層出不窮，使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢(shì)的挑戰(zhàn)，傳統(tǒng)的單一的防御設(shè)備或者檢測(cè)設(shè)備已經(jīng)無(wú)法滿(mǎn)足安全需求。網(wǎng)絡(luò)安全安全檢測(cè)技術(shù)能夠綜合各方面的安全因素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對(duì)安全狀況的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警，為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。因此，針對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)。